Cloud Antispam Forcepoint · Cloud Antispam Forcepoint Redco Telematica S.r.l. 21052 Busto Arsizio...

Cloud Antispam Forcepoint

Redco Telematica S.r.l. 21052 Busto Arsizio (VA) - ITALIA Via Alba, 18/A Tel. +39.0331.397600- Fax: +39.0331.329901-www.redco.it

Pag. 1

Cloud Email Security: la

soluzione realmente efficace

contro i virus Ransomware



Pag. 2

Sommario

1. Come avviene l’ infezione da virus Ransomware .......................................................................................... 3

2. Chi è Forcepoint ............................................................................................................................................. 5

3. Descrizione della problematica ..................................................................................................................... 5

4. Infrastruttura del servizio .............................................................................................................................. 5

5. Analisi e Ricerca ............................................................................................................................................. 8

6. L’interfaccia ................................................................................................................................................... 8

7. Caratteristiche e SLA di servizio ..................................................................................................................... 9

8. Integrazione antispam Forcepoint con Google e Office 365 ....................................................................... 10

9. I vantaggi di una tecnologia anti-spam in-the-cloud ................................................................................... 11



Pag. 3

1. Come avviene l’ infezione da virus Ransomware La mail ricevuta su una casella di posta @aruba.it il 18/3/2016, scritta in italiano corretto, si presentava così:

L’allegato a cui fa riferimento è un .RAR contenente un file Java Script offuscato:

Inoltrando il giorno stesso il messaggio ad una mailbox @redco.it protetta dal servizio di Cloud Email

Security di Forcepoint (ex Websense), viene prontamente bloccata come potenzialmente dannosa:



Pag. 4

Effettuando una scansione antivirus il 18/3 sul file JS estratto non veniva rilavata alcuna minaccia.

Inserendo il file sul sito www.virustotal.com il giorno stesso NESSUN produttore di antivirus aveva

identificato il file come virus.

Effettuando una scansione il 3/5, viene correttamente identificato come Trojan Downloader, ma solo da 5

su 56 produttori di software AV.

Il file JS non era direttamente riconducibile a Cryptolocker, bensì ad un programma in grado di effettuare il

download di file all’ insaputa dell’utente. Questo è il normale processo con cui si effettua l’installazione di

un ransomware. Bloccando l’esecuzione del programma che effettua il download, si blocca l’infezione sul

nascere.



Pag. 5

2. Chi è Forcepoint

Forcepoint (Ex Websense), è leader globale nelle tecnologie integrate per la protezione di Web, posta

elettronica e dati, offre soluzioni di sicurezza integrate a oltre 42 milioni di dipendenti di più di 50.000

aziende in tutto il mondo, di cui più di 2.300 sono italiane.

Il software e le soluzioni di sicurezza ‘hosted’ di Forcepoint, distribuiti attraverso una rete globale di partner

di canale, aiutano le aziende a bloccare i codici maligni, prevenire la perdita di informazioni confidenziali e

attuare policy di sicurezza sull’utilizzo di Internet.

Le soluzioni Forcepoint migliorano la produttività dei dipendenti e proteggono le aziende dalle minacce alla

sicurezza veicolate tramite Web e posta elettronica, fornendo un componente importante e

complementare alle soluzioni di protezione tradizionali. Forcepoint è l'unico fornitore in grado di offrire

applicazione flessibile e integrata delle policy a livello di gateway Internet, all’interno della rete e a livello di

endpoint.

Le soluzioni di Forcepoint sono utilizzate in comparti quali sanitario, finanziario, bancario, assicurativo, nella

pubblica amministrazione, nel manifatturiero, nel settore legale, tecnologico, nella distribuzione, nei servizi

e nell’istruzione.

Alla luce della crescente convergenza delle minacce nei confronti del Web e della posta elettronica, oggi è

più importante che mai poter contare su una strategia omogenea e unificata per prevenire ogni pericolo.

Grazie alla suite di prodotti Forcepoint e alle tecnologie sofisticate su cui si basano, è possibile usufruire di

una protezione più efficace nei confronti delle minacce Internet ed e-mail.

3. Descrizione della problematica Il proliferare delle infezioni da virus ransomware necessita di una soluzione rapida, poco invasiva ed

affidabile che non consenta al malware di raggiungere gli utenti aziendali. L'unione delle funzionalità

dell’architettura cloud antispam di Forcepoint di seguito descritte risultano essere estremamente affidabili

contro le numerose varianti di Cryptolocker.

4. Infrastruttura del servizio La protezione della rete con Forcepoint Hosted eMail security è di semplice implementazione, in quando

necessita solamente re-indirizzare gli MX record DNS del dominio di posta verso i Datacenter Forcepoint e

tutte le email saranno ispezionate prima essere inoltrate ai mail server del cliente. Le mail inviate verso

l’esterno subiranno lo stesso processo di analisi prima di essere indirizzate ai destinatari. L’impatto

sull’infrastruttura esistente è estremamente contenuto, in quanto non necessita alcuna installazione di

apparati hardware o di software: i mail server attualmente operativi resteranno tali, necessiterà solo

comunicare a Forcepoint i loro indirizzi IP, in modo che possa essere poi inoltrato il traffico analizzato. La

gestione remota delle mailbox e delle politiche applicate verranno gestite tramite interfaccia web con

privilegi multi utenza differenziati. I Datacenter di Forcepoint impiegano cluster di macchine ridondanti e

load-balanced ad alta disponibilità collocate presso undici sedi nel mondo. Tutti i centri dati Forcepoint

sono stati certificati ISO27001 per garantire il massimo grado di sicurezza globale e localizzata, privacy e



Pag. 6

riservatezza delle informazioni. Un elevato SLA ed un tempo di latenza dei messaggi i posta certificato come

inferiore al minuto, è componente standard del servizio.

In caso di disservizio temporaneo dei mailserver del cliente Forcepoint garantisce il mantenimento dei

messaggi in arrivo per un periodo di 7 giorni.

Il portale per la gestione online in tempo reale rende ancor più lineare la definizione e l'applicazione delle

policy di sicurezza. Potenti tool per la gestione della quarantena e l'assistenza self-service destinati agli

utenti finali, contribuiscono ad alleviare il carico di lavoro degli amministratori IT, mentre le statistiche e il

reporting dei messaggi on-demand, consentono di esercitare il pieno controllo sul sistema facilitando la

comprensione sulla situazione in atto nella rete.

La soluzione on-demand per la sicurezza della posta elettronica di Forcepoint è parte di una suite integrata

di servizi web e mail che, fornendo alla posta elettronica una protezione completa da virus, spam e altri

contenuti indesiderati, garantisce la sicurezza delle comunicazioni e-mail all'interno dell’azienda. Grazie alle

sofisticate tecnologie euristiche utilizzate, integrate da team di esperti nell'analisi delle minacce con oltre

100 anni complessivi di esperienza nel settore della sicurezza, le minacce e-mail vengono analizzate

tempestivamente e le difese vengono aggiornate immediatamente.



Pag. 7

Il Forcepoint ThreatSeeker: HoneyGrid Computing

Prima di entrare nel merito della soluzione è bene fare chiarezza su tutti quei processi proprietari che fanno

di Forcepoint una tecnologia unica e al passo con i nuovi sviluppi del web; ThreatSeeker è l’insieme di

processi e risorse alla base di tutte le soluzioni Forcepoint, un approccio capace di dare una visibilità

praticamente real time delle continue evoluzioni del web. La HoneyGrid è invece una rete distribuita capace

di collezionare una mole impressionante di informazioni a riguardo non solo di URL, ma anche di protocolli,

email, dati e contenuti di applicazioni.

L’elaborazione delle informazioni raccolte è distribuito sui diversi nodi della “grid” così che sia possibile

analizzare e processare una mole tanto impressionante di dati. Il grande valore aggiunto è nella visibilità

mondiale su qualsiasi nuova minaccia, questa viene interpretata e categorizzata in modo da essere

riconosciuta e debellata con un approccio proattivo di filtro.

Figura: Forcepoint ThreatSeker Network



Pag. 8

5. Analisi e Ricerca

Forcepoint vanta un centro di ricerca specializzato sul Web, i SecurityLabs, con sedi e ricercatori in tutto il

mondo. Al di là degli automatismi, indispensabili per la gestione di un volume di dati impressionante, esiste

sempre un uomo capace di discernere il falso positivo dal reale attacco, un professionista capace di

supervisionare i processi di categorizzazione e di analisi per affinare sempre al meglio la categorizzazione e

l’analisi dei dati forniti dalla HoneyGrid.

6. L’interfaccia

Una reportistica avanzata ed una interfaccia di amministrazione chiara ed intuitiva, rendono semplice ed

efficace il miglioramento della sicurezza aziendale.

Banda internet risparmiata grazie alla cancellazione a monte dei messaggi di spam



Pag. 9

Quelli rappresentati in figura sono alcuni dei report disponibili che mostrano l’efficacia del sistema di email

security. Nel rapporto “Top 5 Virus” si può notare come Threatseeker sia efficacemente in grado di

contrastare virus non ancora identificati e privi di firma antivirus. Il servizio, erogato da datacenter

certificati ISO 27001, è attivo 24 ore su 24 con un uptime garantito del 99,999%.

7. Caratteristiche e SLA di servizio

Parametro

Numero centri di servizio 10, di cui 6 in Europa

Certificazione centri di servizio ISO 27001 SI per tutti i datacenter

Numero di tecnologie antivirus 1 Motore proprietario

+ 2 Motori commerciali

+ Motore dinamico proprietario ThreatSeeker

Numero di tecnologie ANTISPAM 1 Motore Euristico Proprietario

1 Motore basato su Dizionari tematici



Pag. 10

+ Motore dinamico proprietario ThreatSeeker

SLA – Tempo di latenza messaggio Mail di 2 MB / 60 secondi

SLA – Protezione minacce virali note = 100,00% su virus noti

SLA – Eliminazione SPAM > 99%

SLA - Uptime = 99,999%

Numero caselle gestite mondiale > 10.000.000

Controllo e gestione prodotto Portale accessibile dal cliente H24, le regole vengono aggiornate in real-time in tutti i datacenter

Tempo di attesa rilascio email Immediato, sia da parte da parte dell’utente che dell’amministration

Statistiche Si, disponibili H24

Reporting Si, disponibile H24

Servizi aggiuntivi – mantenimento messaggi non consegnabili all’utente

144 ore

8. Integrazione antispam Forcepoint con Google e Office 365 Forcepoint è partner tecnologico di Google e Microsoft e consente di effettuare con una semplice

configurazione l’integrazione del servizio cloud antispam con i servizi cloud email dei due conosciuti

fornitori di servizi.

Qui http://www.websense.com/content/support/library/email/hosted/admin_guide/configure_route.aspx

è riportata la modalità di attivazione dell’integrazione.



Pag. 11

9. I vantaggi di una tecnologia anti-spam in-the-cloud

I vantaggi di una soluzione hosted sono molteplici, primo su tutti l’enorme risparmio di risorse in termini di

banda, numero di macchine, corrente e risorse umane che ricevere e gestire oltre il 90% di email-

spazzatura comporta. A questo aggiungiamo una quarantena esternalizzata che lascia codici virali e spam

fuori dal perimetro aziendale.

La soluzione Forcepoint è inoltre ridondata a livello geografico, il che, unito alla capacità di conservare le

email non consegnate al server del cliente fino a sette giorni, consente di garantire la massima disponibilità

del servizio senza costi imprevisti per una funzionalità che diventa ogni giorno di più un problema da

gestire.

L’attivazione del servizio cloud antispam consentirà:

- una netta riduzione dei costi di gestione della piattaforma antispam, in quanto non

necessita gestire le singole mailbox

- un comprovato aumento dell’affidabilità dei filtri che porta all’eliminazione dello spam e

dei falsi positivi altrettanto dannosi

- un netto risparmio della banda internet grazie al filtraggio effettuato a monte

dell’infrastruttura aziendale

- la possibilità di gestire, con politiche definibili ad utente, l’invio di un avviso via mail in caso

di messaggi presenti in quarantena, lasciando al singolo la gestione dell’azione da

intraprendere

- l’attivazione del filtraggio antispam anche sui messaggi in uscita, utile nel caso di presenza

di worm sulla rete aziendale che si diffondono via mail

- il vantaggio di non avere più pubblicati a livello DNS gli IP del mail server, con la

conseguente eliminazione del rischio di inserimento in mail relay gray o black list

- in caso di disservizio temporaneo del mail server o della connettività, il servizio cloud

garantisce il mantenimento dei messaggi in arrivo per un periodo di 7 giorni

- l’attivazione del servizio di cloud antispam non comporta nessun tipo di impatto sulle

attuali funzionalità della posta elettronica e non necessitano riconfigurazioni del mail

server

Cloud Antispam Forcepoint · Cloud Antispam Forcepoint Redco Telematica S.r.l. 21052 Busto Arsizio...

Documents

Transcript of Cloud Antispam Forcepoint · Cloud Antispam Forcepoint Redco Telematica S.r.l. 21052 Busto Arsizio...